【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

admin
admin
admin
102800
文章
87
评论
2022年2月3日11:18:58评论138 views字数 3957阅读13分11秒阅读模式

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

破军安全实验室


    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约3500字,阅读约需8分钟。


2022虎年吉祥,破军安全实验室全体成员祝愿大家在虎年能够大展虎威,身体健康,事事如意。
 新的一年,破军安全实验室将持续为大家输出技术研究成果以及内部安全工具。

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x00 简介

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


blaster 是一款弱密码隐患检测工具,用于网站登录弱密码检测。
 无论是在漏洞响应平台,还是日常工作中,大家或许在为图片验证码、登录加密等无法直接登录测试而烦恼,所以blaster应运而生。它支持导入用户名密码字典,多并发图片验证码识别,自动填充表单元素,无视任何登录加密。


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x01 内测

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


 在团队小伙伴内测期间,斩获多个专属厂商登录弱口令高危漏洞。

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~



【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x02 功能

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


  • 支持复选框勾选:主要场景为阅读平台使用须知、隐私政策单选表单等。

  • 图片验证码识别:采用python第三方库进行ocr识别。

  • 无视任何加密方式:它将用户名及密码字典填充至对应表单进行提交,无需逆向加密方式

  • 支持多并发。


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x03 配置

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


服务端配置,该服务对应客户端配置中的 captchabreak_serverurl

python3 cbhs.py -a user:pass # 自定义服务端basic认证用户名及密码

客户端配置 config.yaml

# 目标网址:http://www.example.com/login# 登录目标最终发送的请求数据包:http://www.example.com/api/user/login
target_url:'http://www.example.com/login' # 登录目标网址browser_path:'C:ProgramFilesGoogleChromeApplicationchrome.exe' # 浏览器的路径headless:false # 设置false显式运行浏览器 true则反之captchabreak_serverurl:'http://user:[email protected]:8080/cb' # 验证码识别服务器userinput_jspath:'document.querySelector("#app> div > div.content > div.form > div.layout >div.input-cntr.input-cntr1 > input")'passinput_jspath:'document.querySelector("#app> div > div.content > div.form > div.layout >div.input-cntr.input-cntr2 > input")'captchainput_jspath:'document.querySelector("#app> div > div.content > div.form > div.layout >div.input-cntr.input-cntr3 > input")' # 验证码输入框jspathcaptchaimg_jspath:'document.querySelector("#app> div > div.content > div.form > div.layout >div.input-cntr.input-cntr3 > div.verification-img > img")' # 验证码图片js pathcheckbox_jspath:'document.querySelector("#app> div > div.content > div.form > div.layout > div.agree-wrap> label > span > input")' # 复选框jspathloginbutton_jspath:'document.querySelector("#app> div > div.content > div.form > div.layout > button")'loginreq_pattern:'*user/login*' # 登录请求的url特征码,最终的登录数据包maxbody_bytes_display:512 # 登录请求响应包最大限制,超过限制则不会显示concurrency:1 # 并发数timeout_ms:50000 # 浏览器中操作的超时时间(毫秒) timeinterval_ms:300 # 浏览器中操作登录过程中每个操作之间的时间间隔(毫秒)proxy:'' # 代理

 客户端配置中的jspath可在浏览器页面对应表单右键选择检查(Inspect),并在检查中右键选中的表单标签,选择Copy>CopyJS path即可复制jspath


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

 


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

 


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x04 使用

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


C:Usersbalster>blaster_win.exeUsage of blaster_win.exe:  -c string        configfile   # 指定config.yaml  -o string        outputfile path (optional) # 暴力破解测试数据输出文件位置  -p string        passdict file path  # 指定密码字典  -u string        userdict file path  # 指定用户名字典


C:Usersblaster>blaster_win.exe -cconf.yaml -u user.txt -p pwds.txt -o res.csv2022/01/28 19:09:08 200 OPTIONS admin   admin  02022/01/28 19:09:08 200 POST    admin  admin   86     {"result":-1,"errorCode":"10005","title":"fail","description":"10005","retValue":null}2022/01/28 19:09:10 200 POST    admin  admin123        135     {"result":-1,"errorCode":"10011","title":"fail","description":"密码过于简单,请使用手机号验证码登录","retValue":null}2022/01/28 19:09:13 200 POST    admin  123456  135    {"result":-1,"errorCode":"10011","title":"fail","description":"密码过于简单,请使用手机号验证码登录","retValue":null}2022/01/28 19:09:16 200 POST    admin  1234567 135    {"result":-1,"errorCode":"10011","title":"fail","description":"密码过于简单,请使用手机号验证码登录","retValue":null}2022/01/28 19:09:18 200 POST    admin  12345678        135     {"result":-1,"errorCode":"10011","title":"fail","description":"密码过于简单,请使用手机号验证码登录","retValue":null}2022/01/28 19:09:21 200 POST    admin  password        86      {"result":-1,"errorCode":"10005","title":"fail","description":"10005","retValue":null}2022/01/28 19:09:24 200 POST    admin  Aa123456.       86      {"result":-1,"errorCode":"10001","title":"fail","description":"10001","retValue":null}2022/01/28 19:09:26 200 POST    admin  p@$$w0rd        86     {"result":-1,"errorCode":"10005","title":"fail","description":"10005","retValue":null}2022/01/28 19:09:29 200 POST    admin  1q2W#e4r        86      {"result":-1,"errorCode":"10001","title":"fail","description":"10001","retValue":null}2022/01/28 19:09:32 200 POST    admin  P@$$w0rd        126     {"result":-1,"errorCode":"10008","title":"fail","description":"密码错误次数已满,请明天再登录","retValue":null}2022/01/28 19:09:34 200 POST    admin  password123     126


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~



【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x05 todo

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


  • 验证码识别率优化
  • 其他类型验证码识别


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x06 安全交流群加入

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


 欢迎大家加入破军安全对外交流群,讨论安全、运维、开发等相关话题,本群将在节后正月初八发布企业信息收集工具


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~



【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

0x07 工具获取

【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~


 扫描下方二维码,关注破军实验室公众号,回复blaster即可获取。


 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,破军安全实验室及文章作者不为此承担任何责任。

    破军安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经破军安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

破军安全实验室

# 长按二维码 关注我们 #



原文始发于微信公众号(破军安全实验室):【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年2月3日11:18:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【2022虎年吉祥】blaster 弱密码隐患检测工具发布啦~https://cn-sec.com/archives/762151.html

发表评论

匿名网友 填写信息